Günümüzde dijital dünyanın görünmez kaleleri olan yazılımlar, her gün binlerce siber saldırının hedefi oluyor. Ancak bu kalelerdeki gedikleri, yani "güvenlik açıklarını" tespit edip ne kadar tehlikeli olduklarını belirlemek, yıllardır uzmanların omuzlarında ağır bir yük olarak duruyordu. Fırat Üniversitesi’nde Hakan Kekül tarafından tamamlanan çığır açıcı bir doktora tezi, bu kritik süreci insan elinden alıp yapay zekanın "analitik zekasına" devrediyor. Trilyonlarca dolarlık siber suç ekonomisine karşı geliştirilen bu yeni yöntem, yazılım açıklarını adeta bir "metin mühendisi" gibi okuyup saniyeler içinde risk puanını hesaplayabiliyor.
İnsan Doğasından Kaynaklanan Hatalara Elveda
Geleneksel yöntemde bir güvenlik açığının ciddiyeti, uzmanların hazırladığı raporların manuel olarak incelenmesiyle belirleniyordu. Ancak insan doğası gereği bu süreç hem çok yavaştı hem de hatalara açıktı. Siber saldırganların, bir açık yayınlandıktan sonraki ilk iki hafta içinde atağa geçtiği gerçeği düşünüldüğünde, saniyelerin bile önemi hayati hale geliyordu. Kekül’ün çalışması, bu "zaman gecikmesi" problemini ortadan kaldırarak siber savunmayı ışık hızına taşımayı hedefliyor.
Doğal Dil İşleme ile Güvenlik Kodları Çözülüyor
Bu yeni yöntem, karmaşık güvenlik raporlarını anlamlandırmak için "Doğal Dil İşleme" (NLP) tekniklerini kullanıyor. Çalışmada; Bag of Words, TF-IDF ve en yeni kelime gömme modellerinden olan Word2Vec ve FastText gibi teknolojiler bir araya getirilerek hibrit bir model oluşturuldu. Bu yapay zeka algoritmaları, karmaşık teknik metinleri analiz ederek güvenlik açığının sisteme ne kadar derin nüfuz edebileceğini (CVSS skorlarını) %94’lere varan bir doğrulukla tahmin edebiliyor.
Siber Güvenlikte Standart Üstü Bir Başarı
Araştırma, sadece mevcut sistemleri iyileştirmekle kalmıyor, aynı zamanda literatürdeki büyük bir boşluğu da dolduruyor. Dünyanın en güncel ve tahmini en zor skorlama sistemi olan CVSS 3.1 versiyonu üzerine yapılan bu çalışma, akademik dünyada bir referans noktası olarak kabul ediliyor. Geliştirilen model, 100 bine yakın gerçek güvenlik kaydı üzerinde test edilerek rüştünü ispatlamış durumda.
Geleceğin Yazılımları Daha Güvenli Olacak
Bu bilimsel gelişme, kurumların kısıtlı kaynaklarını doğru yönetmesini sağlayacak. Hangi açığın "acil" kapatılması gerektiği, yapay zeka tarafından anlık olarak raporlanabilecek; böylece test, yama ve güncelleme süreçlerinde kritik hataların önüne geçilecek. Siber güvenlikte "otonom savunma" döneminin kapılarını aralayan bu tez, dijital güvenliğin geleceğinde yeni bir ufuk açıyor.
Kaynak: Kekül, H. (2022). Yazılım Güvenlik Açıklarının Skorlanması ve Kategorilerinin Belirlenmesinde Yeni Bir Yöntem. (Doktora Tezi). T.C. Fırat Üniversitesi Fen Bilimleri Enstitüsü, Elazığ. Tez No; 735469
